最近,谷歌的团队报告并公开披露了macOS内核中的一个严重缺陷,该缺陷可以让攻击者在不被人知晓的情况下访问用户的计算机。而且,苹果把这个漏洞晾了90天时间没管。
最新的macOS漏洞可能会影响数百万个Mac用户,但这不是完全是因为玩忽职守所致。该漏洞可以让攻击者悄悄地修改已挂载的磁盘映像,然后侵入和控制macOS的内存管理系统,使Mac电脑运行修改后的代码。
谷歌详细解释了苹果macOS内核的缺陷。安全研究人员发现,如果对用户拥有的挂载文件系统映像进行了修改,虚拟管理系统就不会收到这些更改的通知。因此,攻击者可能被授予访问权限,以便在挂载的文件系统上执行恶意操作,而最终用户直到为时已晚时才知道这一点。
早在2018年11月,谷歌就首次向苹果披露了这一漏洞。然而,90天过去了,该公司还没有发布补丁,该漏洞已经被公开披露。谷歌将这个问题标记为“严重程度较高”,这意味着它的影响可能相当大。
值得庆幸的是,苹果已经承认了这个问题,并开始与谷歌的Project Zero合作进行修复。苹果打算在下一个macOS版本中修复这个问题,但目前还没有推出时间表。
除了被谷歌批评解决漏洞太迟缓之外,苹果最近还因其解决漏洞的做法而遭到批评。
此前,FaceTime的安全漏洞也造成了极大的影响,尽管有多个用户向苹果报告这个漏洞,但直到新闻报道和社交媒体帖子开始大肆报道这个安全漏洞,苹果才开始重视起来。
此外,就在上个月,一名德国研究人员批评苹果公司没有给报告macOS漏洞的研究人员提供赏金,因此他拒绝向苹果披露一个严重的与密码相关的漏洞。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
